단돈 60달러에서 2만 달러까지, 성능에 따라 혹은 지갑 사정에 따라 플레이 스토어를 공략하기 위한 도구를 누구나 살 수 있다. 구글이 아무리 스토어를 철저하게 지킨다 하더라도 구멍이 하나도 없을 수 없고, 공격자들은 이 부분을 집요하게 파고든다.

[보안뉴스 문가용 기자] 사이버 범죄자들이 공식 구글 플레이 스토어의 보안 장치를 우회하는 방법을 갖가지로 고안하고 있다. 최근에는 기존 안드로이드 애플리케이션들을 악성 앱으로 둔갑시키는 도구들을 개발하는 데 성공했다. 이 도구들은 현재 온라인 상에서 판매되고 있는데 성능에 따라 최대 2만 달러에까지 판매되고 있다.


보안 업체 카스퍼스키(Kaspersky)는 4월 10일자 블로그를 통해 최근 가장 인기가 높은 다크웹 포럼들을 조사한 결과를 발표했다. 카스퍼스키가 2019년부터 2023년까지 추적한 대형 다크웹 포럼은 총 9개로, 이곳에서 사이버 범죄자들은 앱 개발자 계정에 대한 접근 권한, 봇넷, 악성 안드로이드 애플리케이션 등을 활발히 거래하고 있었다고 한다.

카스퍼스키의 연구원들은 공격자들에게 꽤나 유용한 도구들도 다수 발견할 수 있었다. “공식 구글 플레이에 이미 등록되어 있는 정상 암호화폐 앱이나 데이팅 앱을 감염시킬 수 있는 도구 같은 경우, 수천 달러에도 판매가 되더군요. 성능은 확실해 보였습니다.”

카스퍼스키의 보안 연구원 게오르지 쿠체린(Georgy Kucherin)은 “앱 보안이라는 건 끝나지 않은 ‘밀당 게임’과 같다”고 설명한다. “공격을 막으려고 방어자들이 앱 스캐너를 개발합니다. 그러면 공격자들은 이 앱 스캐너를 우회할 수 있는 방법을 만들어 냅니다. 방어자들은 스캐너를 패치하거나 보완해서 더 강력한 도구를 만들고, 공격자들은 다시 우회 방법을 찾습니다. 이 순환이 도무지 끝나지를 않습니다.”

구글 플레이 해킹을 위한 시장
세상 거의 모든 앱들이 거래되는 공식 장터인 구글 플레이와 애플 앱스토어는 그 지위에 맞게 꼼꼼한 검사 과정을 거쳐 앱들을 등록시킨다. 이론적으로는 악성 앱들이 공식 앱에 발을 들일 수 없고, 실제로도 악성 앱을 이런 공식 스토어들을 통해 퍼트리는 게 결코 쉬운 일은 아니다. “하지만 모든 보안 솔루션이 그렇듯, 100% 안전을 보장할 수는 없습니다. 모든 검사 방법과 모든 앱 스캐너에는 취약점이 존재하고, 공격자들은 언젠가 이를 찾아내 악용합니다.”

현재까지 공식 스토어에 악성 앱을 몰래 올리는 방법은 크게 두 가지로 나뉜다.
1) 아무런 악성 요소가 없는 앱을 만들어 스토어에 올린다. 아무런 악성 요소가 없으므로 대부분 검사에 걸리지 않고 무사히 등록이 된다. 사용자들이 앱을 설치하기 시작한다. 해커는 나중에 앱 업데이트를 통해 악성 코드를 삽입한다.

2) 앱 개발사나 개발자에게 접근한다. 그런 후 이들이 사용하는 몇 가지 계정들에 침투하여 현재 개발 중에 있는 프로젝트에 자신들의 악성 코드를 몰래 삽입한다. 개발자들이나 일반 사용자나 계정 비밀번호를 제대로 설정하지 않는 경우가 많기 때문에 가능한 전략이다. 다크웹에서 판매되는 크리덴셜들을 구매해도 된다.

다크웹에는 구글 플레이에 앱을 등록시킬 수 있는 개발자들의 구글 계정이 판매되기도 한다. 가격은 그리 비싸지 않아 60달러 정도면 누구나 개발자의 정식 구글 계정을 살 수 있다. 다만 명성이 자자하거나 많은 프로젝트를 진행 중인 개발자의 계정, 즉 가치가 높은 계정의 경우 가격이 훨씬 높아진다. 어떤 경우 5천 달러에 판매되기도 한다.

개발자의 계정을 통해 소스코드에 악성 코드를 주입할 수 있게 해 주는 도구도 존재한다. “이런 도구 하나만 있으면 공격자가 무엇이든 원하는 걸 할 수 있습니다. 원하는 모든 앱들에 악성 코드를 주입할 수 있기도 하고요. 수정하고 싶은 만큼 수정할 수도 있습니다. 상황과 필요에 따라 유연하게 바꿔가며 사용할 수 있는 것이죠. 도구 개발자가 지원도 어느 정도 해 주고 기능도 업그레이드 해줍니다. 이런 식의 ‘풀서비스’는 최대 2만 달러까지 합니다.”

구글 플레이를 통한 위협, 어떻게 막아야 할까
구글 플레이를 공략하는 방법들이 다수 있으며, 활발히 거래되고 있다는 건 기업들에 있어 악몽과 같은 소리다. 조직 내 수많은 인원들이 구글 플레이를 이용하기 때문이다. 쿠체린은 “아직도 BYOD 정책을 실시하면서 보안은 소홀히 하는 조직들이 대다수”라며 “그저 아무 모바일 장비나 가져와서 회사 네트워크에 연결시키면 BYOD라고 생각한다”고 안타까워 한다.

“예를 들어 직원 한 명이 BYOD 정책을 통해 안드로이드 기반 모바일 장비를 회사에 가져왔다고 해요. 그리고 회사 네트워크에 연결시켜 놓고 앱을 다운로드 받았는데, 그게 악성 앱이었다고 하면 무슨 일이 일어날까요? 그 악성 앱이 정보 탈취 앱이었다면, 사이버 범죄자들은 해당 직원을 통해 기업 이메일에 들어가 각종 정보를 훔칠 수 있게 됩니다. 그 직원이 이메일로 비밀번호를 주고 받기라도 했다면 더 끔찍한 일이 일어날 수 있습니다.”

다음 두 가지 방법을 활용할 경우, 이와 같은 일이 발생하는 걸 막을 수 있다고 쿠체린은 강조한다.
1) 건강한 디지털 기술 사용 방법(보안 실천 사항)을 직원들에게 가르친다. 앱 다운로드 시 확인해야 할 내용도 여기에 포함시켜야 한다.

2) 안타깝지만 교육만으로는 충분하지 않다. 쿠체린은 “업무용 모바일 장비를 회사가 구매해 직원들에게 나누어 주는 것”을 추천한다. “당연하지만 해당 장비들에는 앱을 함부로 설치할 수 없도록 해야 합니다. 규정으로도 막고 기술적으로도 막아야 합니다.”

3줄 요약
1. 공식 애플리케이션 스토어 공략하는 사이버 범죄자들.
2. 스토어 공략하려는 자들을 위한 시장은 이미 전문화 되어 있음.
3. 앱 설치 시 지켜야 할 보안 실천 사항을 교육하고 업무용 장비 마련해 주는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>